HIT专家网
安全等保让数据用得更加安心
左起:卫生计生委卫生计生监督中心信息二处处长王晖,上海仁济医院信息中心主任孟丽莉,北京阜外心血管病医院信息中心主任赵韡,H3C安全产品部总工朱晓东
提及数据利用,难免会触碰到数据安全这一敏感话题。“互联网的数据围墙,正在被撞破,究竟哪些是隐私保护的范畴,哪些数据可以利用,怎么利用,一定会在一片质疑声中,经历一个抽丝剥茧的过程。”倪荣认为,“安全不应该成为束缚数据走向开放、广为有效利用的托词。安全事故并不是那么可怕,关键是要把数据用起来。实际上,安全事故某种程度上是促进安全。”
原卫生部要求医疗卫生行业全面开展等级保护建设,其中明确要求“要根据信息系统定级备案情况开展等级测评工作,查找安全差距和风险隐患,并结合自身安全需求,制订安全建设整改方案。要于2015年12月30日前完成信息安全等级保护建设整改工作。
2012年11月,北京阜外心血管病医院顺利通过信息安全等级保护第三级测评,成为全国卫生领域第一家通过第三级测评的医院。2014年5月顺利通过年度信息安全等级保护测评。
北京阜外心血管病医院信息中心主任赵韡认为,医院信息系统对业务连续性要求很高,所以要保证系统数据安全性。医院做安全等保,应从信息资产识别、资产脆弱性的识别、威胁的识别这三方面来考虑。脆弱性在医院中主要表现为用户账号过于简单,另外还有一个很重要因素是人,一方面意识淡薄,安全风险防范意识差,二是操作过程出现问题。脆弱性识别是风险评估中最重要的一个环节,可以以资产为核心,或者从物理,网络、系统等层次进行识别。
“安全等保建设,可以总结为外审驱动,构建医院完整信息安全体系;内需驱动,提高自身安全防护水平;在实践中完善指标,将安全工作常态化。”赵韡说。
卫生计生委卫生计生监督中心信息二处处长王晖提出“按需防御”的等级保护思想,即从医疗卫生机构的业务要求出发,以满足不同类型信息系统和信息系统生命周期的安全需求为目标,以国家信息安全等级保护政策为依据,通过分级、分域保护的方法,构建等级安全体系,实现按需防御;结合国际国内先进标准理念,做到融合落地。
王晖强调,等级保护不是要做成一个框框,而是要在有限资源的条件下,用适当的成本获得适度的安全。另外,在等保实施过程中,一定要用PDCA持续改进。
上海仁济医院主要围绕医院三级业务系统 HIS、LIS、RIS开展信息安全等级保护建设工作,以信息等级保护相关标准为依据,制定医院信息化安全建设方向。上海仁济医院信息中心主任孟丽莉认为,等保是给予用户明确的安全目标,帮助用户清晰认识安全薄弱环节。实际上,并没有100%安全,只是用适度的安全核心思想让用户达到投资/收益最佳比。
上海仁济医院从自测评估、制定整改方案到评审通过,历时八个月。孟丽莉表示,尽管已顺利通过评审,但仍然有很多困惑,例如制度的能否真正落地,应急预案在实际中能否真的起到效果,三级标准是否符合三级医院实际业务流程等。但不可忽略的是,安全一定是信息化建设的基础,持续改进是安全永远的主题。
由于医疗行业复杂,系统繁多。王晖建议应该出台卫生行业等保定级细则和基本标准细则,以促进结合行业自身特点来达到等级保护的要求。
在云和移动互联大背景下,实现的是大数据共享与交换。在移动没有边界、数据量大爆发时代,如何解决不同身份、不同接入终端类型、不同位置、不同内容的安全防护的策略?H3C安全产品部总工朱晓东表示,H3C已在“大安全”方面有所实践,这也是H3C提供的软件定义安全战略,其中包括建立安全能力中心;通过在虚拟机上速的生成和部署,实现动态安全防护;通过安全管控中心,将各种安全资源模板化,使管理者简单快速实现安全管控;另外还有基于大数据的动态安全策略,把过去面向连接的安全实践,变成面向对象、可定义和自适应的安全策略。“事实上,我们的目标是把安全变成一种服务,就像今天的云计算,可以变成安全云服务。”朱晓东说。
南湖HIT论坛现场以及嘉宾参观嘉兴市第一人民医院
评论前必须登录!
注册